Disabilitare le Difese: Disable or Modify Tools (T1562.001)

La simulazione di questa tecnica in laboratorio rivela quanto sia sottile la linea tra un'azione amministrativa legittima e un atto ostile. L'obiettivo del red teamer è dimostrare che le difese dell'organizzazione resistono — o, più spesso, mostrare con evidenza chirurgica che non lo fanno.

Il primo scenario da testare riguarda la disattivazione di Windows Defender tramite strumenti nativi, esattamente come fanno gruppi quali Indrik Spider e Ember Bear. Il comando PowerShell classico è diretto:

Set-MpPreference -DisableRealtimeMonitoring $true

Per simulare la tecnica di Indrik Spider, che utilizzava la riga di comando nativa del Defender per regredire le definizioni, si può eseguire:

"C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All

Entrambi i comandi richiedono privilegi elevati, e un EDR maturo dovrebbe intercettarli. Se non lo fa, avete appena giustificato un'intera voce di budget.

Il secondo scenario coinvolge la manipolazione del registro di Sysmon. I valori Start e Enable sotto la chiave HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Microsoft-Windows-Sysmon-Operational controllano la raccolta di telemetria. Da una console elevata:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Microsoft-Windows-Sysmon-Operational" /v "Start" /t REG_DWORD /d 0 /f

Questo disabilita silenziosamente il canale Sysmon senza terminare il processo — una tecnica subdola che molti SOC non rilevano perché non genera un evento di terminazione servizio.

Per il terzo scenario, più avanzato, vale la pena esplorare il bypass AMSI in memoria, utilizzato da Turla e TA2541. Il framework SILENTTRINITY (open source) include un modulo amsiPatch.py progettato proprio per neutralizzare l'Antimalware Scan Interface. In alternativa, Donut (open source) può patchare AMSI e WLDP in un artefatto shellcode, consentendo l'esecuzione di assembly .NET senza ispezione.

Per gli ambienti cloud, TeamTNT ha dimostrato come disabilitare agenti di monitoring su infrastrutture Linux. La simulazione prevede lo stop e la rimozione dei servizi specifici del provider:

systemctl stop cloudwatch-agent && systemctl disable cloudwatch-agent

Sul fronte macOS, strumenti come l'utility launchctl permettono di scaricare i daemon di sicurezza. La simulazione safe prevede di tentare launchctl bootout system/ e verificare se il sistema di protezione rileva il tentativo.

Ogni test va documentato con timestamp, esito della detection e tempo di reazione del SOC. Il valore dell'esercizio non è dimostrare di saper spegnere un antivirus — è misurare quanto velocemente l'organizzazione se ne accorge.

La detection di questa tecnica presenta un paradosso operativo: se l'attaccante ha successo, il sistema che dovrebbe generare l'alert potrebbe essere proprio quello disabilitato. La strategia vincente si basa su due principi — telemetria ridondante e rilevamento dell'assenza.

Su Windows, le sorgenti principali sono WinEventLog:System e WinEventLog:Sysmon. L'evento 7045 nel System log segnala l'installazione di un nuovo servizio — rilevante quando un attaccante come Agrius inietta driver come GMER64.sys per ottenere accesso kernel. L'evento 4689 traccia la terminazione dei processi, utile quando ransomware come Ryuk o Diavol eseguono kill massivi di servizi AV. Sysmon, se ancora operativo, con EventID 13 (Registry Value Set) cattura le modifiche ai valori di registro del Defender e dello stesso Sysmon.

La regola di correlazione più efficace lega tre segnali in una finestra temporale configurabile (parametro di tuning TimeWindow): terminazione di un processo nella lista ServiceNames dei servizi di sicurezza, modifica a chiavi di registro in HKLM\SOFTWARE\Microsoft\Windows Defender o nell'Autologger di Sysmon, e successivo avvio di processi sospetti. Il tuning ProcessNameExclusions è cruciale per escludere strumenti amministrativi legittimi — PsExec usato dal team IT genera lo stesso rumore di PsExec usato da Indrik Spider per disabilitare il Defender.

Su Linux, i log auditd:SYSCALL e auditd:CONFIG_CHANGE sono fondamentali. Monitorare le syscall che invocano kill o systemctl stop su servizi nella lista AgentServiceNames è il primo livello. Il secondo livello verifica modifiche ai file di configurazione systemd dei servizi di sicurezza tramite regole auditd mirate. Il parametro AllowedAdminAccounts filtra le operazioni di manutenzione programmate.

Per macOS, il Unified Log cattura tentativi di scaricamento di launch daemon di sicurezza. L'alert dovrebbe attivarsi quando un processo non appartenente all'elenco DaemonNames atteso tenta un'operazione di unload su agenti come il Falcon di CrowdStrike o simili.

Negli ambienti cloud (IaaS), le API call su AWS:CloudTrail che disabilitano alarm o eliminano agenti di monitoring vanno correlate con il contesto utente (UserContext): un'azione identica è legittima se eseguita dal team DevOps durante una manutenzione pianificata, sospetta se proviene da un account appena compromesso.

Per ambienti Kubernetes, i log kubernetes:audit rilevano modifiche ai sidecar di monitoring o la disabilitazione di admission controller, con esclusioni mirate per namespace di staging (NamespaceExclusions).

Il controllo più importante, però, è la verifica periodica di heartbeat: ogni agente EDR deve fare check-in a intervalli regolari. L'assenza di telemetria da un host atteso — un "buco" nei dati — è spesso l'unico segnale che le difese sono state neutralizzate. Il cmdlet Get-MpPreference consente di verificare che nessun percorso di esclusione inatteso sia stato aggiunto al Defender.

La disabilitazione delle difese lascia tracce paradossali: l'artefatto più significativo è spesso l'assenza di artefatti. Quando un attaccante spegne Sysmon o l'EDR, il gap nella telemetria diventa esso stesso un indicatore forense. Ma prima e dopo quel gap, il sistema operativo conserva evidenze preziose.

Su Windows, la ricostruzione parte dal registro. Le chiavi sotto HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths rivelano percorsi aggiunti alla whitelist — una tecnica usata da BlackByte Ransomware (che aggiunge le estensioni .JS e .EXE), Raspberry Robin (che esclude l'intero drive principale), StrongPity e QakBot. Ogni valore ha un timestamp last-write che si integra nella timeline. La chiave dell'Autologger Sysmon (EventLog-Microsoft-Windows-Sysmon-Operational) merita ispezione dedicata: se i valori Start o Enable sono a zero, qualcuno ha deliberatamente spento la telemetria.

Il registro SYSTEM contiene la configurazione dei servizi: verificare il valore Start dei servizi WinDefend, Sense (Defender for Endpoint) e di qualsiasi altro agente di sicurezza permette di identificare se sono stati impostati su 4 (Disabled). L'hive può essere analizzato offline con RegRipper (open source) o Registry Explorer (gratuito, di Eric Zimmerman).

Gli Event Log sopravvissuti sono la seconda fonte critica. L'evento 7036 (Service Control Manager) registra avvio e arresto dei servizi, anche quando l'arresto è stato provocato da un attaccante. L'evento 1102 segnala il clearing del Security log — se presente, è un forte indicatore di manomissione. Il log Application registra crash dei processi di sicurezza: un pattern di crash ripetuti può indicare l'uso di driver come il Process Explorer driver per terminare processi protetti.

Sul filesystem, la presenza di tool come GMER64.sys, gaze.exe (usato da Medusa Group e Medusa Ransomware), o script kill.bat (come quello di FIN6) in directory temporanee o in percorsi anomali è direttamente indicativa. I prefetch file (C:\Windows\Prefetch) contengono evidenza dell'esecuzione di questi tool con timestamp, anche dopo la loro cancellazione.

Su Linux, la timeline si costruisce attorno ai log di journalctl per i servizi systemd disabilitati, ai file di configurazione modificati sotto /etc/systemd/system/, e ai log di auditd se erano attivi prima della compromissione. TeamTNT disabilitava agenti cloud su infrastrutture containerizzate — in questi casi, i log del container runtime e la cronologia dei comandi shell dell'utente compromesso sono artefatti primari.

Per i network device coinvolti in campagne come KV Botnet Activity e ArcaneDoor, i file di configurazione startup e running vanno confrontati con un baseline noto. Le modifiche alla configurazione AAA (come nel caso di ArcaneDoor sugli appliance Cisco ASA) e la disabilitazione della verifica delle firme digitali (come nel caso di UNC3886) lasciano tracce nei file di configurazione e, se il logging non è stato disabilitato, nei log locali del dispositivo.

La regola d'oro per il forensic analyst è: quando la timeline presenta un vuoto improvviso nella telemetria di sicurezza, quel vuoto non è un'assenza di dati — è il dato.

La tecnica T1562.001 attraversa l'intero spettro delle minacce, dal cybercrime finanziario al sabotaggio di stato. L'analisi dei 30 gruppi che la impiegano rivela pattern ricorrenti che aiutano a profilare un intruso sconosciuto partendo dal metodo di disabilitazione osservato.

Lazarus Group rappresenta l'approccio chirurgico dell'espionaggio nordcoreano. Il malware TangoDelta termina specifici processi McAfee, mentre SHARPKNOT disabilita i servizi System Event Notification e Alerter. Questa selettività suggerisce una ricognizione preventiva dell'ambiente target: il gruppo non spara nel mucchio, ma neutralizza esattamente il prodotto installato. Quando un analista osserva la terminazione mirata di un singolo vendor di sicurezza, senza tentativi su altri prodotti, il profilo punta verso attori con intelligence pre-compromissione.

Wizard Spider e l'ecosistema ransomware — che include Indrik Spider, Play, BlackByte, Akira e INC Ransom — adottano un approccio più aggressivo e rumoroso. Wizard Spider disinstalla e resetta intere suite di sicurezza prima del deployment del ransomware. Indrik Spider combina PsExec, WMI e lo strumento MpCmdRun del Defender stesso per revertire le definizioni. Play utilizza un arsenale diversificato che include GMER, IOBit e PowerTool. Questo pattern "scorched earth" — disabilitare tutto ciò che si incontra — è un indicatore forte di operazione ransomware in fase pre-detonazione, tipicamente nelle ultime 24-48 ore prima della cifratura.

Sul fronte dello spionaggio di stato, Turla (Russia) e APT38 (Corea del Nord) mostrano sofisticazione tecnica elevata. Turla utilizza bypass AMSI in-memory nei suoi script PowerShell, una tecnica che non tocca il disco e non genera artefatti filesystem tradizionali. APT38 si spinge fino all'unhooking delle DLL per neutralizzare EDR e AV a livello userland — un approccio che richiede conoscenza profonda delle internals di Windows e dei meccanismi di hooking dei prodotti di sicurezza.

Le campagne documentate offrono contesto operativo prezioso. La SolarWinds Compromise (C0024) ha mostrato APT29 utilizzare il Service Control Manager da remoto per disabilitare servizi di monitoring — una tecnica living-off-the-land che si confonde con l'amministrazione ordinaria. La campagna HomeLand Justice (C0038), attribuita ad attori iraniani, ha combinato la disabilitazione dell'EDR con operazioni distruttive contro reti governative albanesi. Cutting Edge (C0029), condotta da attori China-nexus, ha disabilitato il logging e manipolato l'Integrity Checker di Ivanti Connect Secure — un attacco alla supply chain della visibilità stessa. La recentissima SharePoint ToolShell Exploitation (C0058) ha visto attori cinesi tra cui Storm-2603 e Threat Group-3390 disabilitare Defender tramite registro e PowerShell su server SharePoint compromessi.

Il pattern geografico è chiaro: gli attori cinesi (Velvet Ant, Aquatic Panda, UNC3886, Putter Panda) prediligono la disabilitazione di verifiche firmware e logging su appliance di rete e VPN. Gli attori iraniani (Magic Hound, Agrius) combinano la neutralizzazione AV con driver legittimi come GMER. Gli attori russi (Turla, Ember Bear, Saint Bear, Gamaredon Group) preferiscono tecniche in-memory e modifiche al registro. Il cybercrime finanziario (FIN6, TA505, Scattered Spider) punta sulla velocità: script batch, comandi diretti, disinstallazione brutale.

Framework MITRE ATT&CK — tecnica T1562.001. Campagne: C0035 (KV Botnet Activity), C0024 (SolarWinds Compromise), C0058 (SharePoint ToolShell Exploitation), C0055 (Quad7 Activity), C0038 (HomeLand Justice), C0046 (ArcaneDoor), C0029 (Cutting Edge), C0028 (2015 Ukraine Electric Power Attack), C0002 (Night Dragon). Tool di detection: Sysmon, auditd, RegRipper, Registry Explorer. Integrato con conoscenza professionale per tool e procedure operative.